rvlira 0 Denunciar post Postado Novembro 25, 2008 Olá pessoal! Tenho um cadastro de fornecedores em php e através de uma página permito a edição dos dados. Na página que carrega os dados, eu tenho um parâmetro via "Query String" chamado "id" que contém o número do registro a ser editado. Então eu consulto o banco e monto na página o formulário para que o usuário atualize os dados. O formulário é enviado via POST para "confirmaedicao.php". No formulário eu adiciono um campo "hidden" com o valor do id para quem eu vou executar o update no banco de dados. Mas então eu fico pensando... Provavelmente deve haver algum addon maligno que permita ao usuário modificar esse campo hidden, fazendo com que o programa altere o registro de um outro id. Então eu pergunto: Como vocês fazem para verificar que a edição está sendo feita no registro que você realmente queria modificar? Obrigado pela ajuda. Compartilhar este post Link para o post Compartilhar em outros sites
Williams Duarte 431 Denunciar post Postado Novembro 25, 2008 Brow voce pode tratar estes dados antes de fazer a pesquisa se for numerico e adicionando alguma funções como addslashes / htmlentities ou armazenando em sessão mas lembrando que tudo depende de sua aplicação para evitar os códigos maliciosos Compartilhar este post Link para o post Compartilhar em outros sites
Alaerte Gabriel 662 Denunciar post Postado Novembro 25, 2008 Entendi o que quer fazer. Faça a atualização de acordo o login do usuário pego pela sessão, com isso, caso ele altere o ID, só vai atualizar se o login for igual o da sessão, sacou ? Compartilhar este post Link para o post Compartilhar em outros sites